我正在尝试使用 ntop 来监控 Cisco Catalyst 交换机上的流量。我假设为了查看任何流量,我必须使用监视器,如下所述:http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml。
然而,在交换机上做任何事情之前,我只是插入了 ntop 服务器并启动了 ntop。令我惊讶的是,我立即看到了 3+ 页主机信息和数千个数据包。ntop 是如何看到这些的?
我已经验证交换机上不存在监控(以 en 身份运行):
cs1.pvdc#show monitor
No SPAN configuration is present in the system.
我的 ntop 服务器是 Ubuntu 8.04,我没有做任何配置,我只是安装了 ntop 包。这也是一个全新的 Ubuntu 安装。
除了“监控”之外,我的交换机上还有其他东西可能导致我的交换机像这样镜像所有流量吗?我尝试将 ntop 插入不同的端口,结果相同。
更新:ntop 中似乎不仅仅显示广播流量,例如,我可以看到我的 IP 何时与 DNS 服务器通信或生成 HTTP 流量。如果我的交换机配置错误,有人能指点我如何纠正这个问题吗?不是思科专家。
答案1
您看到的是哪种数据包?一般来说,我发现一个规模较大的网络不可避免地会有很多广播聊天。比如 NetBios 公告和 ARP 请求。您不应该看到任何点对点流量。查看源和目标 IP/MAC 地址。如果您看到特定的点对点流量,则您的交换机可能存在配置问题。
另外,最好打开spanning-tree port-fast交换机的每个接入端口,因为这将防止端口打开/关闭时刷新 mac 地址表。这通常是交换机泛洪数据包的原因。
编辑:
您可以尝试更改MAC地址表老化时间:
http://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp1085773
命令如下:
mac-address-table aging-time seconds
这将改变条目在交换机表中停留的时间,使其能够更长时间地记住地址并限制单播泛洪。
要使用的另一个命令是我上面提到的spanning-tree port-fast。您应该在每个不连接到其他交换机的接口上启用它。这将有 2 个好处:首先,它将加快插入新计算机所需的时间;其次,当交换机认为存在拓扑更改(生成树的一个功能)时,它还会阻止交换机刷新 MAC 表。
答案2
我也使用 NTOP,这就是你的情况。
注意:SPAN 将在一个端口上监控 A 到 B 和 B 到 A 的流量。如果您有全双工 2x 100 Mbit,则在发生数据包丢失之前,A 和 B 之间的总流量不能超过网络速度 100 Mbit。对于千兆交换机来说,这应该不是问题。
(来源:思科公司)
在这种配置中,嗅探器仅捕获涌入所有端口的流量,例如:
广播流量
禁用 CGMP 或互联网组管理协议 (IGMP) 监听的多播流量
未知单播流量
当交换机的内容寻址内存 (CAM) 表中没有目标 MAC 时,就会发生单播泛洪。交换机不知道将流量发送到哪里。交换机将数据包泛洪到目标 VLAN 中的所有端口。
答案3
如果您的局域网非常大,请检查交换机 mac 表存储的大小。如果溢出很多,则交换机将开始泛滥。
我在一个网络中看到了这个问题,该网络的核心交换机已配置为过滤第 2 层多播数据包,这导致许多接入交换机上的 mac 表不完整。
如果您可以物理访问交换机,请将其诊断 led 切换到流量模式,您应该会看到每个端口上的活动分布均匀(显示均匀的流量分布)。如果同步很多,那么就会发生大量泛洪。如果所有交换机都相同,那么您的 mac 表学习存在问题。